AI Act, approvate le nuove regole per l'intelligenza artificiale: ecco quali sono

Dopo il Parlamento europeo, anche il Consiglio dell'Unione Europea approva il testo dell'AI Act. Si tratta della nuova normativa che mira a porre dei paletti sull'utilizzo delle intelligenze artificiali. Cosa può cambiare in ottica futura.

Che una regolamentazione delle intelligenze artificiali fosse nell’aria lo si sapeva già da tempo. Adesso, però, anche il Consiglio dell’Unione Europea – dopo il precedente “via libera” del Parlamento – ha approvato il cosiddetto AI Act, nella forma presentata a dicembre 2023.

La legislazione punta su un approccio “basato sul rischio”: maggiore è la probabilità che l’intelligenza artificiale possa provocare danni, più rigide sono le regole da applicare. Mentre 14 aziende si accordano per un’IA più sicura, tra cui anche OpenAI, Google, Mistral, Amazon e Meta, l’AI Act è di fatto la prima norma del suo genere al mondo e mira a stabilire uno “standard globale” per la regolamentazione delle intelligenze artificiali.

Cos’è l’AI Act e cosa contiene

L’AI Act, originariamente proposto dalla Commissione Europea nell’aprile 2021, include una lista di utilizzi proibiti dell’IA, insieme a regole specifiche per gli utilizzi in ambiti ad alto rischio (ad esempio nella didattica, nella salute e nell’impiego). Sono inoltre previsti obblighi sul piano della verifica della qualità dei dati prodotti dai modelli generativi e piani di valutazione dei rischi.

Trovano inoltre applicazione alcune prescrizioni relative alla trasparenza sul funzionamento delle IA, soprattutto per la realizzazione di chatbot e strumenti di elaborazione di immagini e video.

A questo punto, nonostante i veti inizialmente posti da Paesi come la Francia (che, evidentemente, temevano di intaccare il business di alcune imprese nazionali…), l’AI Act diverrà legge nel giro di breve tempo. È prevista solamente la pubblicazione in Gazzetta Ufficiale. Da allora, a distanza di 24 mesi, la norma sarà di fatto pienamente applicabile.

L’Unione Europea è comunque orientata su un’implementazione graduale della nuova legge: i requisiti legali cresceranno via via per gli sviluppatori interessati tra il 2024 e il 2027. Ci sarà un periodo di transizione della durata di due anni, nel corso dei quali tante aziende che hanno pesantemente investito nello sviluppo di soluzioni basate sull’IA dovranno necessariamente aggiornarsi.

Sistemi di IA ad alto rischio e piattaforme a uso generale

I sistemi di IA che presentano solo un rischio limitato, saranno soggetti a obblighi molto leggeri in termini di trasparenza. L’AI Act prevede invece adempimenti piuttosto severi per i sistemi di intelligenza artificiale a rischio elevato: la valutazione e la riduzione dei rischi, la trasparenza, la supervisione umana e il diritto per i cittadini di presentare reclami.

I sistemi di IA ad uso generale dovranno soddisfare specifici requisiti in fatto di trasparenza, mentre i modelli più potenti affronteranno requisiti aggiuntivi per valutare e mitigare i rischi sistemici.

Il regolamento prevede anche misure per sostenere l’innovazione e le PMI, come l’utilizzo di “sandbox” e meccanismi di test per sviluppare e addestrare IA innovative prima del loro lancio sul mercato.

L’uso di modelli stocastici diventa più pericoloso

Bernd Greifeneder, CTO di Dynatrace, osserva che in base alle linee guida stabilite, sembra che l’Unione Europea abbia, comprensibilmente, focalizzato la regolamentazione sulla riduzione dei rischi geopolitici dell’AI, ma non si sia concentrata sulle problematiche commerciali.

La maggior parte delle organizzazioni si troverà probabilmente a utilizzare quelli che l’UE definisce modelli di AI “a rischio minimo o nullo”. Questi modelli non ricadono direttamente sotto l’influenza dell’AI Act, ma l’UE sta incoraggiando le organizzazioni a impegnarsi in codici di condotta volontari per gestire meglio il rischio“, argomenta Greifeneder. “Nello sviluppare i propri codici di condotta, è importante che le organizzazioni riconoscano che non tutte le IA sono uguali. Alcuni tipi, come quelli basati su approcci non deterministici, come l’AI generativa, comportano rischi maggiori rispetto ad altri modelli“.

L’uso di modelli stocastici, diciamo noi, è però il “sale” dei sistemi di IA che tutti conosciamo, è il “motore” che fa funzionare gli strumenti addestrati utilizzando volumi di dati di grandi dimensioni.

L’AI Act “scuote” gli schemi tradizionalmente utilizzati, chiamando le aziende a riconsiderare, dice Greifeneder, “come l’IA prende le decisioni, se è trasparente e a quali processi ha accesso e controllo. Senza un quadro di classificazione che delinei chiaramente le caratteristiche, le organizzazioni faranno fatica a utilizzare l’IA in modo sicuro, a prescindere dal fatto che sia conforme o meno“.

Critiche sulla possibilità di attivare meccanismi di riconoscimento facciale per contrastare i reati

Non mancano poi le voci critiche. Patrick Breyer, europarlamentare e membro del comitato LIBE, sostiene che l’AI Act contiene diverse zone d’ombra alle quali è opportuno porre rimedio prima possibile. Ad esempio, Breyer (Partito Pirata) sostiene che, nella forma attuale, l’AI Act autorizzerebbe le porte per l’utilizzo dell’intelligenza artificiale per il riconoscimento facciale di massa.

In altre parole, per individuare alcune migliaia di persone soggette a mandato di arresto (a fronte di reati indicati nell’AI Act stesso), la normativa avallerebbe l’uso di strumenti di sorveglianza biometrica su una scala inaccettabile e su base permanente.

La regolamentazione prevede infatti esplicite esenzioni per i sistemi utilizzati esclusivamente a scopo militare e di difesa, nonché per la ricerca.

Alle aziende, invece, è vietato sviluppare e usare applicazioni di IA capaci di ledere i diritti dei cittadini. Sono citati, ad esempio, i sistemi di categorizzazione biometrica basati su caratteristiche sensibili e il Web scraping delle immagini facciali o da telecamere di sorveglianza al fine di creare database di riconoscimento facciale.

L’AI Act mette al bando il concetto di “punteggio sociale”

La legge europea vieta l’uso dell’IA per il cosiddetto “predictive policing” ovvero l’adozione di tecniche di analisi dei dati per prevedere potenziali attività criminali in alcune aree geografiche o da parte di determinate persone. Sono altresì severamente vietate le attività volte all’elaborazione del cosiddetto punteggio sociale, un sistema di valutazione o classificazione delle persone basato su una serie di comportamenti, azioni o dati associati alle loro attività nella vita quotidiana.

Il punteggio sociale può coinvolgere diversi fattori, tra cui le interazioni online, le transazioni finanziarie, il comportamento sul luogo di lavoro, le relazioni personali e altro ancora. Tali sistemi possono essere implementati da enti governativi, organizzazioni private o aziende per vari scopi, come la gestione del rischio, la prevenzione della frode, o anche il controllo sociale.

Dal momento che questo schema e le soluzioni derivate sollevano evidenti preoccupazioni etiche e problematiche pesantissime in materia di privacy, i promotori dell’AI Act hanno deciso di mettere al bando pratiche come il punteggio sociale, proteggendo i cittadini dai potenziali abusi.

Credit immagine in apertura: iStock.com – David Gyung

Ti consigliamo anche

Link copiato negli appunti